CN111131221B - 接口校验的装置、方法及存储介质 - Google Patents
接口校验的装置、方法及存储介质 Download PDFInfo
- Publication number
- CN111131221B CN111131221B CN201911322904.5A CN201911322904A CN111131221B CN 111131221 B CN111131221 B CN 111131221B CN 201911322904 A CN201911322904 A CN 201911322904A CN 111131221 B CN111131221 B CN 111131221B
- Authority
- CN
- China
- Prior art keywords
- interface
- request
- address
- registered user
- configuration table
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及计算机技术,揭露了一种接口校验的装置、方法及存储介质,该方法包括:拦截接口调用请求,对接口调用请求进行拆分得到拆分数据;分析请求端地址是否合法;若是,则获取请求端地址对应的IP地址注册用户信息,获取预先配置的黑名单配置表,分析IP地址注册用户信息是否存在黑名单配置表中,且分析接口名称是否存在黑名单配置表中;若IP地址注册用户信息及接口名称均不存在黑名单配置表中,则获取请求端地址在预设时间段内的访问次数,且获取该IP地址注册用户的信用等级;若访问次数大于等于预设次数,或者该IP地址注册用户的信用等级低于预设等级,则对接口调用请求进行屏蔽。本发明能够对接口调用进行准确、全面的分析。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种接口校验的装置、方法及存储介质。
背景技术
目前,用于跟踪、查看、分析接口调用情况的工具有很多,这些工具通常会分析接口调用对应的参数,参数包括访问权限、令牌、时间等等,通过参数判断是否为恶意访问,再进行接口屏蔽或响应。现有的工具主要是简单地分析接口调用的参数,而对于一些恶意攻击或恶意访问是无法准确分析出来的,因此,如何对接口调用进行准确、全面的分析,从而发现存在安全隐患的接口,以进行屏蔽操作,成为有待解决的问题。
发明内容
本发明的目的在于提供一种接口校验的装置、方法及存储介质,旨在对接口调用进行准确、全面的分析。
为实现上述目的,本发明提供一种接口校验的装置,所述接口校验的装置包括存储器及与所述存储器连接的处理器,所述存储器中存储有可在所述处理器上运行的校验系统,所述校验系统被所述处理器执行时实现如下步骤:
利用预先添加的拦截器拦截接口调用请求,对所述接口调用请求进行拆分得到拆分数据,所述拆分数据包括请求端地址、接口名称;
分析所述请求端地址是否合法;
若是,则获取所述请求端地址对应的IP地址注册用户信息,且获取预先配置的黑名单配置表,分析所述IP地址注册用户信息是否存在所述黑名单配置表中,且分析所述接口名称是否存在所述黑名单配置表中;
若所述IP地址注册用户信息及所述接口名称均不存在所述黑名单配置表中,则获取所述请求端地址在预设时间段内的访问次数,且获取该IP地址注册用户在预设的风险等级系统中的信用等级;
若所述请求端地址在预设时间段内的访问次数大于等于预设次数,或者该IP地址注册用户在预设的风险等级系统中的信用等级低于预设等级,则对所述接口调用请求进行屏蔽。
优选地,所述校验系统被所述处理器执行时,还实现如下步骤:
获取告警消息及记录接口调用请求的日志信息,基于所述告警消息及记录接口调用请求的日志信息配置所述黑名单配置表。
优选地,所述校验系统被所述处理器执行时,还实现如下步骤:
在后台管理系统通过预定的方式对所述黑名单配置表中的IP地址注册用户信息及接口名称进行监管操作,并根据监管操作结果对所述IP地址注册用户信息及接口名称进行编辑。
优选地,所述拆分数据还包括请求参数及接口类型,所述校验系统被所述处理器执行时,还实现如下步骤:
若所述请求端地址在预设时间段内的访问次数小于预设次数,且该IP地址注册用户在预设的风险等级系统中的信用等级高于预设等级,则获取预存的、所述接口类型对应的数据字典,基于所述数据字典对所述请求参数进行合法性校验;
若所述请求参数均为合法数据,则响应所述接口调用请求。
为实现上述目的,本发明还提供一种接口校验的方法,所述接口校验的方法包括:
S1,利用预先添加的拦截器拦截接口调用请求,对所述接口调用请求进行拆分得到拆分数据,所述拆分数据包括请求端地址、接口名称;
S2,分析所述请求端地址是否合法;
S3,若是,则获取所述请求端地址对应的IP地址注册用户信息,且获取预先配置的黑名单配置表,分析所述IP地址注册用户信息是否存在所述黑名单配置表中,且分析所述接口名称是否存在所述黑名单配置表中;
S4,若所述IP地址注册用户信息及所述接口名称均不存在所述黑名单配置表中,则获取所述请求端地址在预设时间段内的访问次数,且获取该IP地址注册用户在预设的风险等级系统中的信用等级;
S5,若所述请求端地址在预设时间段内的访问次数大于等于预设次数,或者该IP地址注册用户在预设的风险等级系统中的信用等级低于预设等级,则对所述接口调用请求进行屏蔽。
优选地,所述步骤S3之前,还包括:获取告警消息及记录接口调用请求的日志信息,基于所述告警消息及记录接口调用请求的日志信息配置所述黑名单配置表。
优选地,所述接口校验的方法,还包括:在后台管理系统通过预定的方式对所述黑名单配置表中的IP地址注册用户信息及接口名称进行监管操作,并根据监管操作结果对所述IP地址注册用户信息及接口名称进行编辑。
优选地,所述拆分数据还包括请求参数及接口类型,所述步骤S4之后,还包括:
若所述请求端地址在预设时间段内的访问次数小于预设次数,且该IP地址注册用户在预设的风险等级系统中的信用等级高于预设等级,则获取预存的、所述接口类型对应的数据字典,基于所述数据字典对所述请求参数进行合法性校验;
若所述请求参数均为合法数据,则响应所述接口调用请求。
优选地,所述基于所述数据字典对所述请求参数进行合法性校验的步骤,具体包括:
在所述数据字典中获取所述请求参数对应的正则验证表达式,基于所述正则验证表达式对所述请求参数的格式进行校验。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有校验系统,所述校验系统被处理器执行时实现上述的接口校验的方法的步骤。
本发明的有益效果是:本发明预先配置黑名单配置表,在接口调用请求的请求端地址合法的情况下,通过黑名单配置表快速分析该请求端地址对应的IP地址注册用户及接口名称是否在黑名单配置表中,如果均不在黑名单配置表中,则结合分析请求端地址在预设时段内对应的访问次数及用户的信用等级,在访问次数小于大于等于预设次数,或者信用等级低于预设等级时,对接口调用请求进行屏蔽。本发明从宏观层面上分析用户的行为,能够对接口调用进行准确、全面的分析,以发现存在安全隐患的接口并进行屏蔽。
附图说明
图1为本发明各个实施例一可选的应用环境示意图;
图2是图1中接口校验的装置一实施例的硬件架构的示意图;
图3为图1、图2中校验系统一实施例的程序模块图;
图4为本发明接口校验的方法一实施例的流程示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,在本发明中涉及“第一”、“第二”等的描述仅用于描述目的,而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。另外,各个实施例之间的技术方案可以相互结合,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在,也不在本发明要求的保护范围之内。
参阅图1所示,是本发明的较佳实施例的应用环境示意图。在该实施例中,该接口校验的装置1与客户端2通过网络相连接。用户通过客户端2发起接口调用请求,接口校验的装置1拦截该接口调用请求,然后对其进行校验。接口校验的装置1包括校验系统10(APP),校验系统10对接口调用请求进行校验,以确定是否屏蔽或者响应该接口调用请求。
其中,所述接口校验的装置1是一种能够按照事先设定或者存储的指令,自动进行数值计算和/或信息处理的设备。所述接口校验的装置1可以是计算机、也可以是单个网络服务器、多个网络服务器组成的服务器组或者基于云计算的由大量主机或者网络服务器构成的云,其中云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个超级虚拟计算机。
参照图2所示,在本实施例中,接口校验的装置1可包括,但不仅限于,可通过系统总线相互通信连接的存储器11、处理器12、网络接口13,存储器11存储有可在处理器12上运行的校验系统。需要指出的是,图2仅示出了具有组件11-13的接口校验的装置1,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。
其中,存储器11包括内存及至少一种类型的可读存储介质。内存为接口校验的装置1的运行提供缓存;可读存储介质可为如闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等的非易失性存储介质。在一些实施例中,可读存储介质可以是接口校验的装置1的内部存储单元,例如该接口校验的装置1的硬盘;在另一些实施例中,该非易失性存储介质也可以是接口校验的装置1的外部存储设备,例如接口校验的装置1上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。本实施例中,存储器11的可读存储介质通常用于存储安装于接口校验的装置1的操作系统和各类应用软件,例如存储本发明一实施例中的校验系统10的程序代码等。此外,存储器11还可以用于暂时地存储已经输出或者将要输出的各类数据。
所述处理器12在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片,用于运行所述存储器11中存储的程序代码或者处理数据,例如运行校验系统10等。
所述网络接口13可包括标准的无线网络接口、有线网络接口,该网络接口13通常用于在所述接口校验的装置1与其他电子设备之间建立通信连接。
所述校验系统10存储在存储器11中,包括至少一个存储在存储器11中的计算机可读指令,该至少一个计算机可读指令可被处理器12执行,以实现本申请各实施例的方法;以及,该至少一个计算机可读指令依据其各部分所实现的功能不同,可被划为不同的逻辑模块。
在一实施例中,上述校验系统10被所述处理器12执行时实现如下步骤:
利用预先添加的拦截器拦截接口调用请求,对所述接口调用请求进行拆分得到拆分数据,所述拆分数据包括请求端地址、接口名称;
分析所述请求端地址是否合法;
若是,则获取所述请求端地址对应的IP地址注册用户信息,且获取预先配置的黑名单配置表,分析所述IP地址注册用户信息是否存在所述黑名单配置表中,且分析所述接口名称是否存在所述黑名单配置表中;
若所述拆分数据还包括请求参数及接口类型,则获取所述请求端地址在预设时间段内的访问次数,且获取该IP地址注册用户在预设的风险等级系统中的信用等级;
若所述请求端地址在预设时间段内的访问次数大于等于预设次数,或者该IP地址注册用户在预设的风险等级系统中的信用等级低于预设等级,则对所述接口调用请求进行屏蔽。
进一步地,所述校验系统被所述处理器执行时,还实现如下步骤:
获取告警消息及记录接口调用请求的日志信息,基于所述告警消息及记录接口调用请求的日志信息配置所述黑名单配置表。
进一步地,所述校验系统被所述处理器执行时,还实现如下步骤:
在后台管理系统通过预定的方式对所述黑名单配置表中的IP地址注册用户信息及接口名称进行监管操作,并根据监管操作结果对所述IP地址注册用户信息及接口名称进行编辑。
进一步地,所述拆分数据还包括请求参数及接口类型,所述校验系统被所述处理器执行时,还实现如下步骤:
若所述请求端地址在预设时间段内的访问次数小于预设次数,且该IP地址注册用户在预设的风险等级系统中的信用等级高于预设等级,则获取预存的、所述接口类型对应的数据字典,基于所述数据字典对所述请求参数进行合法性校验;
若所述请求参数均为合法数据,则响应所述接口调用请求。
参照图3所示,为图1、图2中校验系统10的程序模块图。所述校验系统10被分割为多个模块,该多个模块被存储于存储器12中,并由处理器13执行,以完成本发明。本发明所称的模块是指能够完成特定功能的一系列计算机程序指令段。
所述校验系统10可以被分割为:拆分模块101、第一分析模块102、第二分析模块103、获取模块104及屏蔽模块105。
所述拆分模块101,用于利用预先添加的拦截器拦截接口调用请求,对所述接口调用请求进行拆分得到拆分数据,所述拆分数据包括请求端地址、接口名称;
所述第一分析模块102,用于分析所述请求端地址是否合法;
所述第二分析模块103,用于若是,则获取所述请求端地址对应的IP地址注册用户信息,且获取预先配置的黑名单配置表,分析所述IP地址注册用户信息是否存在所述黑名单配置表中,且分析所述接口名称是否存在所述黑名单配置表中;
所述获取模块104,用于若所述拆分数据还包括请求参数及接口类型,则获取所述请求端地址在预设时间段内的访问次数,且获取该IP地址注册用户在预设的风险等级系统中的信用等级;
所述屏蔽模块105,用于若所述请求端地址在预设时间段内的访问次数大于等于预设次数,或者该IP地址注册用户在预设的风险等级系统中的信用等级低于预设等级,则对所述接口调用请求进行屏蔽。
具体原理请参照下述图4关于接口校验的方法的流程图的介绍。
如图4所示,图4为本发明接口校验的方法一实施例的流程示意图,接口校验的装置1的处理器13执行存储器12中存储的校验系统10时实现该方法的如下步骤:
步骤S1,利用预先添加的拦截器拦截接口调用请求,对所述接口调用请求进行拆分得到拆分数据,所述拆分数据包括请求端地址、接口名称;
其中,预先编写一个公共拦截器,通过添加的该拦截器,用以拦截接口调用请求,然后对拦截的接口调用请求进行分析。
本实施例中,拆分数据包括接口调用请求的请求端地址、接口名称及请求参数。发起接口调用请求的主体为客户端,接口校验的装置可以是服务器,客户端与服务器之间进行直接通信,遵循一定的通信协议。按照此通信协议的规定对接收到的接口调用请求进行拆分,即可得到包括请求端地址、接口名称及请求参数的拆分数据。例如,通信协议规定客户端发送的信息必须以Json(JavaScript Object Notation,JS对象标记)的格式进行传参,根据Json对象进行接口转化为java对象,进行拆分可得到拆分数据。当然,也可以按照其他的通信协议对接收到的接口调用请求进行拆分,对此不进行限定。
步骤S2,分析所述请求端地址是否合法;
其中,请求端地址合法或不合法的依据主要是格式是否标准及是否为预先备案的地址,如果请求端地址格式不标准,或者请求端地址不是预先备案的地址,则为不合法的请求端地址;如果请求端地址格式标准,且请求端地址是预先备案的地址,则为合法的请求端地址。
本实施例中,如果请求端地址不合法,则直接对该接口调用请求进行屏蔽。
步骤S3,若是,则获取所述请求端地址对应的IP地址注册用户信息,且获取预先配置的黑名单配置表,分析所述IP地址注册用户信息是否存在所述黑名单配置表中,且分析所述接口名称是否存在所述黑名单配置表中;
如果请求端地址合法,则首先通过查询预先存储的关系表,该关系表中记录有请求端地址与对应的IP地址注册用户信息的关联关系,获取接口调用请求的请求端地址对应的IP地址注册用户信息,然后,获取预先配置的黑名单配置表,在该黑名单配置表中,记录了黑名单接口名称及黑名单IP地址注册用户,最后,分析该IP地址注册用户信息是否存在黑名单配置表中,且分析接口名称是否存在黑名单配置表中。
本实施例中,通过预先配置的黑名单配置表,能够快速地分析出IP地址注册用户是否为黑名单用户,及接口名称是否为黑名单接口,如果是黑名单用户,或者是黑名单接口,则直接对该接口调用请求进行屏蔽。
在一优选的实施例中,配置黑名单配置表的步骤包括:获取告警消息及记录接口调用请求的日志信息,基于所述告警消息及记录接口调用请求的日志信息配置所述黑名单配置表。
其中,告警消息包括告警SQL邮件、慢请求的告警提示、CPU及内存消耗告警提示等。通过分析告警消息,抓取出存在问题或异常的接口调用请求对应的接口名称,记录在黑名单配置表中;此外,可通过spring AOP切面技术来记录接口调用请求的日志信息,日志信息用以分析IP地址注册用户的操作记录,可分析IP地址注册用户是否存在同一个IP地址同时多次刷请求的情况,这种可视为恶意或异常的操作,可将该IP地址注册用户记录在黑名单配置表中。
进一步地,为了对所配置的黑名单配置表进行灵活处理,还可以在后台管理系统通过预定的方式对所述黑名单配置表中的IP地址注册用户信息及接口名称进行监管操作,并根据监管操作结果对所述IP地址注册用户信息及接口名称进行编辑。
其中,在后台管理系统通过预留后门开关对所述黑名单配置表中的IP地址注册用户信息及接口名称进行监管操作,具体地,每隔预定时间,可以对黑名单配置表中的各IP地址注册用户,进一步分析各IP地址注册用户近期的接口调用请求,如果有IP地址注册用户近期的接口调用请求为合理的接口调用请求,则可以将其从黑名单配置表中删除;对于接口,如果其在某段时间内发生拥堵,那么会被添加至黑名单配置表中,每隔预定时间,可以对黑名单配置表中的各各接口名称对应的接口近期的状态进行分析,如果有接口近期没有发生拥堵的情况下,那么可以将其从黑名单配置表中删除。通过这种方式,可以对黑名单配置表中的接口名称、IP地址注册用户信息进行灵活管理。
此外,本实施例也可以结合现有的一些接口分析工具,例如detector工具等,对接口调用请求进行分析,以进一步配置全面的黑名单配置表。
步骤S4,若所述IP地址注册用户信息及所述接口名称均不存在所述黑名单配置表中,则获取所述请求端地址在预设时间段内的访问次数,且获取该IP地址注册用户在预设的风险等级系统中的信用等级;
步骤S5,若所述请求端地址在预设时间段内的访问次数大于等于预设次数,或者该IP地址注册用户在预设的风险等级系统中的信用等级低于预设等级,则对所述接口调用请求进行屏蔽。
其中,如果接口调用请求对应的IP地址注册用户信息不存在黑名单配置表中,且对应的接口名称也不存在黑名单配置表中,则进一步分析请求端地址的访问次数及IP地址注册用户的信用等级。
如果该请求端地址在预设时段内对应的访问次数小于预设次数(例如,每分钟小于10次),且该IP地址注册用户的信用等级不低于预设的信用等级(例如,信用等级从高至低分为一级、二级、三级,信用等级越高则IP地址注册用户的信用越好,例如,该IP地址注册用户的信用等级不低于二级),则可以响应该接口调用请求,否则屏蔽该接口调用请求。
本实施例预先配置黑名单配置表,在接口调用请求的请求端地址合法的情况下,通过黑名单配置表快速分析该请求端地址对应的IP地址注册用户及接口名称是否在黑名单配置表中,如果均不在黑名单配置表中,则结合分析请求端地址在预设时段内对应的访问次数及用户的信用等级,在访问次数小于大于等于预设次数,或者信用等级低于预设等级时,对接口调用请求进行屏蔽。本实施例从宏观层面上分析用户的行为,能够对接口调用进行准确、全面的分析,以发现存在安全隐患的接口并进行屏蔽。
进一步地,上述的拆分数据还包括请求参数及接口类型,为了更全面、准确地对接口调用请求进行校验,还可对请求参数进行校验,包括:若所述请求端地址在预设时间段内的访问次数小于预设次数,且该IP地址注册用户在预设的风险等级系统中的信用等级高于预设等级,则获取预存的、所述接口类型对应的数据字典,基于所述数据字典对所述请求参数进行合法性校验;;若所述请求参数均为合法数据,则响应所述接口调用请求。
其中,为了满足用户的各种需求,服务器会提供一些接口,且按照接口提供的功能,对接口进行分类,例如,登录接口(用于用户的登录操作)、图像显示接口(用于调用用户需求的图片并显示)等,且可以通过标识信息表示接口类型,例如,若byte8或byte9携带的信息为1,则对应的接口类型为登录接口,若byte8或byte9携带的信息为2,则对应的接口类型为图像显示接口。
本实施例中,可根据每种接口类型的请求参数的不同预设对应的数据字典。数据字典为json格式,是一种轻量级的数据交换格式,有对象和数组两种数据结构。其中对象的数据结构为key_value键/值对的结构模式,本实施例中将此key_value键/值对的结构模式作为数据字典(当然,也可以采用数组的数据结构作为数据字典),其中有众多key_value键/值对,key表示请求参数,value表示请求参数对应的正则验证表达式,正则验证表达式规定了请求参数必须遵循的格式。
其中,若接口调用请求的接口类型为登录接口,则获取登录接口对应的数据字典。如下表1所示,表1为登录接口对应的数据字典的示例表:
表1
在表1中,请求参数1可以是登录名,请求参数2可以是登录密码,请求参数3可以是验证码,则请求参数1对应的正则验证表达式1,规定了登录名必须遵循的格式;请求参数2对应的正则验证表达式2,规定了登录密码必须遵循的格式;请求参数3对应的正则验证表达式3,规定了验证码必须遵循的格式。例如,对日期类型的请求参数,可以设置正则验证表达式为:YYYY-MM-DD;对于字符类型的请求参数,可以设置正则验证表达式为:字符为英文字母a-z、A-Z、0-9等。
本实施例中,经校验后,若所有的请求参数均遵循对应的正则验证表达式的格式,则请求参数为合法参数,响应该接口调用请求,即调用对应的接口,实现接口相应的功能;若有请求参数不遵循对应的正则验证表达式的格式,则请求参数为不合法参数,屏蔽该接口调用请求,即不进行相应的接口调用操作。
本实施例中,通过设置的数据字典对接口调用请求的请求参数进行校验,在配置正则验证表达式时,仅需对数据字典进行扩展,将该接口类型允许的请求参数添加到数据字典中,后续接收到接口调用请求时,检测该接口调用请求包含的请求参数是否被记录在数据字典中,若被记录在数据字典中,则响应该接口调用请求,否则,屏蔽该接口调用请求。本实施例基于数据字典的高扩展性,使得对请求参数的扩展和维护更容易。
本实施例通过数据字典校验请求参数的方式,与现有参数校验相比,能有效的对接口调用请求的入参进行规范化校验,对于含有不合法请求参数的接口调用请求进行屏蔽,提高安全性,同时,能降低入参的非法定义,易于后期维护。
此外,本发明实施例还提出一种计算机可读存储介质,所述计算机可读存储介质可以是硬盘、多媒体卡、SD卡、闪存卡、SMC、只读存储器(ROM)、可擦除可编程只读存储器(EPROM)、便携式紧致盘只读存储器(CD-ROM)、USB存储器等等中的任意一种或者几种的任意组合。所述计算机可读存储介质中包括校验系统,该校验系统被处理器执行时实现的功能,请参照上述关于图4的介绍,在此不再赘述。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、装置、物品或者方法不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、装置、物品或者方法所固有的要素。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (8)
1.一种接口校验的装置,其特征在于,所述接口校验的装置包括存储器及与所述存储器连接的处理器,所述存储器中存储有可在所述处理器上运行的校验系统,所述校验系统被所述处理器执行时实现如下步骤:
利用预先添加的拦截器拦截接口调用请求,对所述接口调用请求进行拆分得到拆分数据,所述拆分数据包括请求端地址、接口名称;
根据请求端地址格式及预先备案的地址分析所述请求端地址是否合法,若请求端地址不合法,对所述接口调用请求进行屏蔽;
若是,则获取所述请求端地址对应的IP地址注册用户信息,且获取预先配置的黑名单配置表,分析所述IP地址注册用户信息是否存在所述黑名单配置表中,且分析所述接口名称是否存在所述黑名单配置表中;
若所述IP地址注册用户信息及所述接口名称均不存在所述黑名单配置表中,则获取所述请求端地址在预设时间段内的访问次数,且获取该IP地址注册用户在预设的风险等级系统中的信用等级;
若所述请求端地址在预设时间段内的访问次数大于等于预设次数,或者该IP地址注册用户在预设的风险等级系统中的信用等级低于预设等级,则对所述接口调用请求进行屏蔽;
其中,所述黑名单配置表的配置过程包括:获取告警消息及记录接口调用请求的日志信息,基于所述告警消息及记录接口调用请求的日志信息配置所述黑名单配置表。
2.根据权利要求1所述的接口校验的装置,其特征在于,所述校验系统被所述处理器执行时,还实现如下步骤:
在后台管理系统通过预定的方式对所述黑名单配置表中的IP地址注册用户信息及接口名称进行监管操作,并根据监管操作结果对所述IP地址注册用户信息及接口名称进行编辑。
3.根据权利要求1或2所述的接口校验的装置,其特征在于,所述拆分数据还包括请求参数及接口类型,所述校验系统被所述处理器执行时,还实现如下步骤:
若所述请求端地址在预设时间段内的访问次数小于预设次数,且该IP地址注册用户在预设的风险等级系统中的信用等级高于预设等级,则获取预存的、所述接口类型对应的数据字典,基于所述数据字典对所述请求参数进行合法性校验;
若所述请求参数均为合法数据,则响应所述接口调用请求。
4.一种接口校验的方法,其特征在于,所述接口校验的方法包括:
S1,利用预先添加的拦截器拦截接口调用请求,对所述接口调用请求进行拆分得到拆分数据,所述拆分数据包括请求端地址、接口名称;
S2,根据请求端地址格式及预先备案的地址分析所述请求端地址是否合法,若请求端地址不合法,对所述接口调用请求进行屏蔽;
S3,若是,则获取所述请求端地址对应的IP地址注册用户信息,且获取预先配置的黑名单配置表,分析所述IP地址注册用户信息是否存在所述黑名单配置表中,且分析所述接口名称是否存在所述黑名单配置表中;
S4,若所述IP地址注册用户信息及所述接口名称均不存在所述黑名单配置表中,则获取所述请求端地址在预设时间段内的访问次数,且获取该IP地址注册用户在预设的风险等级系统中的信用等级;
S5,若所述请求端地址在预设时间段内的访问次数大于等于预设次数,或者该IP地址注册用户在预设的风险等级系统中的信用等级低于预设等级,则对所述接口调用请求进行屏蔽;
其中,所述黑名单配置表的配置过程包括:获取告警消息及记录接口调用请求的日志信息,基于所述告警消息及记录接口调用请求的日志信息配置所述黑名单配置表。
5.根据权利要求4所述的接口校验的方法,其特征在于,所述接口校验的方法,还包括:在后台管理系统通过预定的方式对所述黑名单配置表中的IP地址注册用户信息及接口名称进行监管操作,并根据监管操作结果对所述IP地址注册用户信息及接口名称进行编辑。
6.根据权利要求4或5所述的接口校验的方法,其特征在于,所述拆分数据还包括请求参数及接口类型,所述步骤S4之后,还包括:
若所述请求端地址在预设时间段内的访问次数小于预设次数,且该IP地址注册用户在预设的风险等级系统中的信用等级高于预设等级,则获取预存的、所述接口类型对应的数据字典,基于所述数据字典对所述请求参数进行合法性校验;
若所述请求参数均为合法数据,则响应所述接口调用请求。
7.根据权利要求6所述的接口校验的方法,其特征在于,所述基于所述数据字典对所述请求参数进行合法性校验的步骤,具体包括:
在所述数据字典中获取所述请求参数对应的正则验证表达式,基于所述正则验证表达式对所述请求参数的格式进行校验。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有校验系统,所述校验系统被处理器执行时实现如权利要求4至7中任一项所述的接口校验的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911322904.5A CN111131221B (zh) | 2019-12-19 | 2019-12-19 | 接口校验的装置、方法及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911322904.5A CN111131221B (zh) | 2019-12-19 | 2019-12-19 | 接口校验的装置、方法及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111131221A CN111131221A (zh) | 2020-05-08 |
| CN111131221B true CN111131221B (zh) | 2022-04-12 |
Family
ID=70500538
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911322904.5A Active CN111131221B (zh) | 2019-12-19 | 2019-12-19 | 接口校验的装置、方法及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111131221B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113783923A (zh) * | 2021-03-31 | 2021-12-10 | 北京沃东天骏信息技术有限公司 | Web页面防刷处理方法、装置、设备以及存储介质 |
| CN113468491B (zh) * | 2021-06-07 | 2024-02-23 | 深圳供电局有限公司 | Api服务引擎方法、系统、电子设备及计算机可读存储介质 |
| CN114466053B (zh) * | 2022-04-11 | 2022-07-08 | 腾讯科技(深圳)有限公司 | 远程过程调用的调用管控方法、装置、设备及存储介质 |
| CN114760133B (zh) * | 2022-04-15 | 2023-10-03 | 中国电信股份有限公司 | RESTful接口认证方法、装置、系统、设备及介质 |
| CN114979067B (zh) * | 2022-05-11 | 2024-03-05 | 北京圣博润高新技术股份有限公司 | 一种单位管辖机关的确定方法、装置、设备和介质 |
| CN115563216A (zh) * | 2022-10-13 | 2023-01-03 | 国网江苏省电力有限公司泰州供电分公司 | 基于区块链的电力数据监管方法、装置、设备和介质 |
| CN116455642B (zh) * | 2023-04-21 | 2023-11-21 | 杭州虎符网络有限公司 | 一种基于日志分析的访问风险实时审计方法与系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109150904A (zh) * | 2018-09-25 | 2019-01-04 | 深圳市佰仟金融服务有限公司 | 接口服务调用方法及终端设备 |
| CN110389765A (zh) * | 2019-07-24 | 2019-10-29 | 深圳市盟天科技有限公司 | 一种参数校验方法和参数校验系统 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8434131B2 (en) * | 2009-03-20 | 2013-04-30 | Commvault Systems, Inc. | Managing connections in a data storage system |
| CN105897782B (zh) * | 2016-06-30 | 2019-05-10 | 北京奇艺世纪科技有限公司 | 一种针对接口的调用请求的处理方法及装置 |
| CN108200068B (zh) * | 2018-01-08 | 2020-07-14 | 平安科技(深圳)有限公司 | 端口监控方法、装置、计算机设备及存储介质 |
| CN109344642B (zh) * | 2018-08-31 | 2024-03-01 | 平安科技(深圳)有限公司 | 接口规则校验方法、装置、计算机设备及存储介质 |
| CN109743294A (zh) * | 2018-12-13 | 2019-05-10 | 平安科技(深圳)有限公司 | 接口访问控制方法、装置、计算机设备及存储介质 |
| CN109857484B (zh) * | 2019-01-17 | 2022-07-22 | 北京城市网邻信息技术有限公司 | 针对接口调用请求的处理方法及系统 |
| CN110147261A (zh) * | 2019-04-15 | 2019-08-20 | 平安普惠企业管理有限公司 | 基于调用接口的参数校验方法及相关设备 |
-
2019
- 2019-12-19 CN CN201911322904.5A patent/CN111131221B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109150904A (zh) * | 2018-09-25 | 2019-01-04 | 深圳市佰仟金融服务有限公司 | 接口服务调用方法及终端设备 |
| CN110389765A (zh) * | 2019-07-24 | 2019-10-29 | 深圳市盟天科技有限公司 | 一种参数校验方法和参数校验系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111131221A (zh) | 2020-05-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111131221B (zh) | 接口校验的装置、方法及存储介质 | |
| CN109743315B (zh) | 针对网站的行为识别方法、装置、设备及可读存储介质 | |
| US9491182B2 (en) | Methods and systems for secure internet access and services | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| CN111490981B (zh) | 访问管理方法、装置、堡垒机及可读存储介质 | |
| CN110268406B (zh) | 密码安全性 | |
| CN111191226B (zh) | 利用提权漏洞的程序的确定方法、装置、设备及存储介质 | |
| US20180248898A1 (en) | Method and apparatus for identifying malicious website, and computer storage medium | |
| CN113489713A (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
| CN110610196A (zh) | 脱敏方法、系统、计算机设备和计算机可读存储介质 | |
| CN109684878B (zh) | 一种基于区块链技术隐私信息防篡改方法及系统 | |
| US20170372311A1 (en) | Secure payment-protecting method and related electronic device | |
| CN110688653A (zh) | 客户端的安全防护方法及装置、终端设备 | |
| CN109040146B (zh) | 账号登录授权方法、服务器、计算机设备及存储介质 | |
| US20210266181A1 (en) | Data security processing method and terminal thereof, and server | |
| CN106507300A (zh) | 一种找回丢失终端的方法、装置及终端 | |
| CN108989298B (zh) | 一种设备安全监控方法、装置及计算机可读存储介质 | |
| CN110995658A (zh) | 网关保护方法、装置、计算机设备及存储介质 | |
| CN115242608B (zh) | 告警信息的生成方法、装置、设备及存储介质 | |
| CN115208671B (zh) | 防火墙配置方法、装置、电子设备和存储介质 | |
| US11671422B1 (en) | Systems and methods for securing authentication procedures | |
| CN114491661A (zh) | 基于区块链的日志防篡改方法及系统 | |
| CN110677483A (zh) | 信息处理系统和可信安全管理系统 | |
| CN110597557A (zh) | 一种系统信息获取方法、终端及介质 | |
| CN115186255B (zh) | 工业主机白名单提取方法、装置、终端设备以及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |